不同域扩展的SSL证书

时间:2014-04-30 03:06:21

标签: ssl

我已将我的网站设置在具有不同域扩展名的单个网络服务器中,例如

https://mybusiness.com

https://mybusiness.com.au

https://mybusiness.co.nz ....

我也有子域(IIS中的不同网站)来做后端的事情,例如。

https://admin.mybusiness.com

https://admin.mybusiness.com.au

https://admin.mybusiness.co.nz

我正在寻找购买SSL证书但不太确定哪种类型最适合我的情况。

我应该购买一个支持多个子域的SSL的单个域SSL,还是应该为每个支持多个子域的SSL证书购买单独的域SSL。

1 个答案:

答案 0 :(得分:0)

  

不同域扩展的SSL证书......

我不相信CA团队会向你推销像mybusiness.**.mybusiness.*这样的通配符。至少,你必须证明对所有可能域的控制,你可能不能这样做。

CA和浏览器聚在一起并遵守自我强加的要求。请参阅CA/B Baseline Requirements。经验法则是通配符应该显示为FQDN的最左边部分。 IETF有点邋,,但人们从CA而不是IETF购买。所以你必须播放CA / B规则。

(奇怪的是,非浏览器通过IETF规则解析,因此可以使非浏览器接受根据它们颁发的标准无效的证书。)


  

我应该购买一个支持多个子域的SSL的单个域SSL,

我认为您应该购买一张涵盖您控制下的适用域名的证书。您需要列出您控制下的所有域,并应用请求,将其作为DNS名称列在主题备用名称(SAN)中。 CSR可能看起来像:

  • CN = My Business,LLC
  • SAN = DNS:mybusiness.com
  • SAN = DNS:mybusiness.com.au
  • SAN = DNS:mybusiness.co.zn
  • SAN = DNS:*。mybusiness.com
  • SAN = DNS:*。mybusiness.com.au
  • SAN = DNS:*。mybusiness.co.zn

不建议使用在公用名(CN)中放置DNS名称而不使用。因此你提出友好名称的原因。


如果您不介意每个域的一个证书(没有通配符),那么Starcom将免费为您提供一级证书。大多数移动和桌面浏览器都信任Startcom。他们也提供通配符,但你必须购买它们。